インターフェイス VPC エンドポイントからの作成とストリーミング - Amazon WorkSpaces
前提条件と制限WorkSpaces ストリーミング用の VPC エンドポイントの設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイントからの作成とストリーミング

Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。Amazon Virtual Private Cloud を使用して AWS リソースをホストする場合は、VPC と WorkSpaces の間にプライベート接続を確立できます。この接続を使用して、WorkSpaces がパブリックインターネットを経由せずに VPC 上のリソースと通信できるようにします。

インターフェイスエンドポイントは、プライベート IP アドレスを使用して指定した VPC 内でトラフィックをストリーミングできるテクノロジーである AWS PrivateLink を利用しています。 AWS Direct Connect または AWS 仮想プライベートネットワークトンネルで VPC を使用する場合、ストリーミングトラフィックをネットワーク内に保持できます。

AWS アカウントの VPC エンドポイントを使用して、Amazon VPC と WorkSpaces 間のすべてのストリーミングトラフィックを AWS ネットワークに制限できます。エンドポイントを作成したら、それを使用するように WorkSpaces ディレクトリを設定します。

前提条件と制限

WorkSpaces の VPC エンドポイントを設定する前に、以下の前提条件と制限事項に注意してください。

  • この機能は、現在 WorkSpaces Personal でのみ使用できます。WorkSpaces Pools は、ストリーミング用の VPC エンドポイントをサポートしていません。

  • VPC エンドポイント機能は、Amazon DCV を使用する WorkSpaces でのみ使用できます。ディレクトリの VPC エンドポイントを設定すると、ユーザーはインターネット経由で Amazon DCV からストリーミングすることはできません。ただし、VPC エンドポイントの設定中に、同じディレクトリ内の PCoIP WorkSpaces のインターネットストリーミングを有効にできます。

  • この機能は現在、IPv4 VPC エンドポイントのみをサポートしています。IPv6 およびデュアルスタック VPC エンドポイントはサポートされていません。

  • VPC 内でストリーミングトラフィックを維持するには、ストリーミング VPC エンドポイントを使用します。WorkSpaces クライアントでは、ユーザー認証にインターネット接続が必要です。認証トラフィックのポート 443 (UDP と TCP の両方) でアウトバウンドアクセスを有効にします。さらに、選択した認証方法に基づいて、必要なドメインと IP アドレスを許可リストに追加する必要があります。各カテゴリのドメインの完全なリストについては、許可リストに追加するドメインと IP アドレスを参照してください。

    • CAPTCHA

    • ディレクトリ設定

    • スマートカードを使用している場合、セッション前のスマートカード認証エンドポイント

    • ユーザーログインページ

    • WS ブローカー

    • SAML シングルサインオン (SSO) 用の Workspaces エンドポイント

  • ユーザーのデバイスが接続されているネットワークは、トラフィックを VPC エンドポイントにルーティングできる必要があります。

  • ec2:DescribeVpcEndpoints API アクションを実行するには、 AWS アカウントの IAM ユーザーまたは IAM ロールの IAM アクセス許可ポリシーが必要です。

  • WorkSpaces ストリーミング VPC エンドポイントは現在 FIPS 暗号化をサポートしていません。ディレクトリの FIPS 暗号化を既に有効にしている場合は、VPC エンドポイントを設定する前に FIPS 暗号化を無効にする必要があります。

  • AWS Global Accelerator (AGA) 統合は、VPC エンドポイント経由でストリーミングする場合には使用できません。

  • VPC エンドポイントがディレクトリに設定されている場合、ディレクトリに指定された IP アクセスコントロールグループは適用されません。

WorkSpaces ストリーミング用の VPC エンドポイントの設定

WorkSpaces ストリーミング用の VPC エンドポイントを設定するには、次の手順を実行します。

ステップ 1: セキュリティグループを作成する

このステップでは、WorkSpaces クライアントが作成する VPC エンドポイントと通信できるようにするセキュリティグループを作成します。

  1. Amazon EC2 コンソールのナビゲーションペインで、ネットワークとセキュリティ、次にセキュリティグループに移動します。

  2. [Create a new security group] (新しいセキュリティグループを作成する) を選択します。

  3. 基本の詳細で、次のように入力します。

    • セキュリティグループ名 – セキュリティグループを識別する一意の名前を入力します。

    • 説明 - セキュリティグループの目的を説明するテキストを入力します。

    • VPC の場合 – VPC エンドポイントがある VPC を選択します。

  4. インバウンドルールに移動し、ルールの追加を選択して TCP トラフィックのインバウンドルールを作成します。

  5. 次のように入力します。

    • タイプ - カスタム TCP を選択します。

    • ポート範囲 – 次のポート番号を入力します: 4434195

    • ソースタイプ - カスタム を選択します。

    • ソース - ユーザーが VPC エンドポイントに接続するプライベート IP CIDR 範囲またはその他のセキュリティグループ IDs を入力します。IPv4 アドレスソースからのインバウンドトラフィックのみを許可してください。

  6. CIDR 範囲またはセキュリティグループごとにステップ 4 と 5 を繰り返します。

  7. インバウンドルールに移動しルールの追加を選択して UDP トラフィックのインバウンドルールを作成します。

  8. 次のように入力します。

    • タイプ - カスタム UDP を選択します。

    • ポート範囲 – 次のポート番号を入力します: 443、4195。

    • ソースタイプ - カスタム を選択します。

    • ソース – ステップ 5 で入力したのと同じプライベート IP CIDR 範囲またはセキュリティグループ IDs を入力します。

  9. カスタム UDP ごとにステップ 7 と 8 を繰り返します。

  10. [Create a new security group] (新しいセキュリティグループを作成する) を選択します。

ステップ 2: VPC エンドポイントを作成する

Amazon VPC では、VPC エンドポイントを使用して、VPC をサポートされている AWS サービスに接続できます。この例では、WorkSpaces ユーザーが WorkSpaces からストリーミングできるように Amazon VPC を設定します。

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、エンドポイントに移動し、エンドポイントを作成します

  3. [エンドポイントの作成] を選択します。

  4. 以下を確認してください。

    • サービスカテゴリAWS サービスが選択されていることを確認します。

    • サービス名com.amazonaws.Region.prod.highlander を選択します。

    • VPC – インターフェイスエンドポイントを作成する VPC を選択します。ネットワークが VPC エンドポイントにトラフィックをルーティングする限り、WorkSpaces リソースを持つ VPC とは異なる VPC を選択できます。

    • プライベート DNS 名を有効にする – チェックボックスがオンになっています。ユーザーがネットワークプロキシを使用してストリーミングインスタンスにアクセスする場合は、プライベートエンドポイントに関連付けられているドメインと DNS 名のプロキシキャッシュを無効にします。VPC エンドポイントの DNS 名は、プロキシを介して許可する必要があります。

    • DNS レコード IP タイプ – IPv4 を選択します。デュアルスタックと IPv6 DNS レコードの IP タイプは現在サポートされていません。Dualstack または IPv6 が選択されている場合、VPC エンドポイントを使用して WorkSpaces からストリーミングすることはできません。

    • サブネット – VPC エンドポイントを作成するサブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのサブネットを選択することをお勧めします。

    • IP アドレスタイプ – IPv4 を選択します。

    • セキュリティグループパネル – 前に作成したセキュリティグループを選択します。

  5. (オプション) [タグ] パネルで、1 つ以上のタグを作成できます。

  6. エンドポイントの作成を選択します。

エンドポイントの準備ができると、[ステータス] 列の値が [Available] (利用可能) に変わります。

ステップ 3: VPC エンドポイントを使用するように WorkSpaces ディレクトリを設定する

ストリーミング用に作成した VPC エンドポイントを使用するように WorkSpaces ディレクトリを設定する必要があります。

  1. VPC エンドポイントと同じ AWS リージョンで WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで、ディレクトリを選択し、 を選択します。

  3. 使用するディレクトリを選択します。

  4. VPC エンドポイントセクションに移動し、編集します。

  5. VPC エンドポイントの編集ダイアログボックスのストリーミングエンドポイントで、作成した VPC エンドポイントを選択します。

  6. 必要に応じて、PCoIP WorkSpaces を使用するユーザーにインターネットからのストリーミングを許可できます。

    注記

    有効にすると、ユーザーはパブリックインターネット経由で PCoIP WorkSpaces からストリーミングできます。そうしないと、PCoIP WorkSpaces はストリーミング用の VPC エンドポイントをサポートしていないため、ディレクトリ内の PCoIP WorkSpaces にアクセスできなくなります。

  7. [保存] を選択します。

新しいストリーミングセッションのトラフィックは、この VPC エンドポイントを介してルーティングされます。ただし、現在のストリーミングセッションのトラフィックは、引き続き以前に指定したエンドポイントを介してルーティングされます。

注記

VPC エンドポイントが指定されている場合、DCV WorkSpaces を使用するユーザーはパブリックインターネットを使用してストリーミングできません。